情報システムの情報を、その機密レベルに応じて
漏洩、改竄（かいざん）、盗難、侵入、なりすまし、破壊等による損害から
情報システムを守るための管理基準とすることを目的とするものです。
明確にすべき事項には次などがあります。
・情報の「機密レベル」の分類と重要性の明確化
・集中管理の内容（アクセス、認証、データ完全性管理など）
・分散管理の内容（アクセス、認証、データ完全性、データの廃棄など）
・ＩＤの貸与または譲渡の禁止
・不正アクセス、データの不正コピーおよび持ち出しの禁止
・画面に表示する情報の管理（クリアスクリーンポリシー）
・情報セキュリティ区画の設定
・情報セキュリティ区画の運用
・機器・設備の保護
・電源・空調の保護
・ケーブルの保護
・違反行為等への対応　　など
マキ　コーポレーション　「個人情報保護対策」より